Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
ashev
- рядовой
- Сообщения: 18
- Зарегистрирован: 2010-11-29 17:31:54
Непрочитанное сообщение
ashev » 2011-02-05 19:52:28
Здравствуйте. Помогите, пожалуйста, решить проблему. Пытаюсь настроить VPN-туннель между Watchguard и FreeBSD 8.1. Соединение, как мне кажется, устанавливается, но передать пакеты не получается. Вот лог racoon (ipsec-tools 0.7.3)
Код: Выделить всё
Feb 5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
Feb 5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
Feb 5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
Feb 5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: 111.111.111.111[500] used as isakmp port (fd=5)
Feb 5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: 111.111.111.111[500] used for NAT-T
Feb 5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: IPsec-SA request for 222.222.222.222 queued due to no phase1 found.
Feb 5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: ERROR: unknown AF: 0
Feb 5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: initiate new phase 1 negotiation: 111.111.111.111[500]<=>222.222.222.222[500]
Feb 5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: begin Identity Protection mode.
Feb 5 16:28:37 bershadmoloko racoon: phase1(ident I msg1): 0.000265
Feb 5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Feb 5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: received Vendor ID: DPD
Feb 5 16:28:37 bershadmoloko racoon: oakley_dh_generate(MODP1024): 0.006358
Feb 5 16:28:37 bershadmoloko racoon: phase1(ident I msg2): 0.006533
Feb 5 16:28:37 bershadmoloko racoon: oakley_dh_compute(MODP1024): 0.006267
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=24): 0.000018
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=145): 0.000006
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000006
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000006
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=1): 0.000005
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=20): 0.000006
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=328): 0.000007
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_encdef_encrypt(3des klen=192 size=40): 0.000043
Feb 5 16:28:37 bershadmoloko racoon: phase1(ident I msg3): 0.006518
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_encdef_decrypt(3des klen=192 size=40): 0.000010
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=328): 0.000013
Feb 5 16:28:37 bershadmoloko racoon: oakley_validate_auth(pre-shared key): 0.000033
Feb 5 16:28:37 bershadmoloko racoon: phase1(ident R msg3): 0.000083
Feb 5 16:28:37 bershadmoloko racoon: phase1(Identity Protection): 0.082813
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=32): 0.000008
Feb 5 16:28:37 bershadmoloko racoon: alg_oakley_encdef_encrypt(3des klen=192 size=56): 0.000011
Feb 5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: ISAKMP-SA established 111.111.111.111[500]-222.222.222.222[500] spi:f015a4d27d3df491:5d5201049c5a5b28
Feb 5 16:28:38 bershadmoloko racoon: 2011-02-05 16:28:38: INFO: initiate new phase 2 negotiation: 111.111.111.111[500]<=>222.222.222.222[500]
Feb 5 16:28:38 bershadmoloko racoon: oakley_dh_generate(MODP1024): 0.006361
Feb 5 16:28:38 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=240): 0.000007
Feb 5 16:28:38 bershadmoloko racoon: alg_oakley_encdef_encrypt(3des klen=192 size=264): 0.000017
Feb 5 16:28:38 bershadmoloko racoon: phase2(quick I msg1): 0.006460
Feb 5 16:28:38 bershadmoloko racoon: alg_oakley_encdef_decrypt(3des klen=192 size=40): 0.000007
Feb 5 16:28:38 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=20): 0.000006
Feb 5 16:28:38 bershadmoloko racoon: 2011-02-05 16:28:38: ERROR: fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.
Feb 5 16:28:58 bershadmoloko racoon: 2011-02-05 16:28:58: ERROR: 222.222.222.222 give up to get IPsec-SA due to time up to wait.
ashev
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
ashev
- рядовой
- Сообщения: 18
- Зарегистрирован: 2010-11-29 17:31:54
Непрочитанное сообщение
ashev » 2011-02-05 19:59:34
111.111.111.111 - IP FreeBSD
222.222.222.222 - IP Watchgard
ashev
-
blade_007
- ст. прапорщик
- Сообщения: 571
- Зарегистрирован: 2010-03-12 12:59:08
-
Контактная информация:
Непрочитанное сообщение
blade_007 » 2011-02-07 10:40:24
Это здорово, только проверьте, чтоб и в конфиге racoon это было указано и в watchguard, т.е. разрешить пакетам с адресом отправителя 192.168.3.0/24 в подсети 10.0.0.0/24 создавать туннель.
blade_007
-
ashev
- рядовой
- Сообщения: 18
- Зарегистрирован: 2010-11-29 17:31:54
Непрочитанное сообщение
ashev » 2011-02-07 11:05:29
я это указывал в ipsec.conf
Код: Выделить всё
flush;
spdflush;
spdadd 10.0.0.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/111.111.111.111-222.222.222.222/require;
spdadd 192.168.3.0/24 10.0.0.0/24 any -P in ipsec esp/tunnel/222.222.222.222-111.111.111.111/require;
ashev
-
blade_007
- ст. прапорщик
- Сообщения: 571
- Зарегистрирован: 2010-03-12 12:59:08
-
Контактная информация:
Непрочитанное сообщение
blade_007 » 2011-02-07 11:14:04
Покажите еще racoon.conf, где прописывается описание SA для разных хостов, типа:
Код: Выделить всё
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
sainfo address 172.21.0.0/16 any address 192.168.100.0/28 any
{
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
remote X5.6X.XX4.X5X
{
exchange_mode main,base;
doi ipsec_doi;
situation identity_only;
lifetime time 8 hour ; # sec,min,hour
initial_contact on;
generate_policy on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2 ;
}
proposal_check obey;
}
Настройки phase1 и phase2 должны быть ИДЕНТИЧНЫ НА ОБОИХ узлах.
blade_007
-
ashev
- рядовой
- Сообщения: 18
- Зарегистрирован: 2010-11-29 17:31:54
Непрочитанное сообщение
ashev » 2011-02-07 11:42:07
racoon.conf
Код: Выделить всё
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp 111.111.111.111 [500];
}
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
# persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 40 sec;
phase2 20 sec;
}
remote 195.78.58.203
{
exchange_mode main;
proposal_check obey; # obey, strict, or claim
nat_traversal on;
ike_frag on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 480 min;
encryption_algorithm 3des;
authentication_algorithm hmac_md5, hmac_sha1;
compression_algorithm deflate;
}
ashev
-
ashev
- рядовой
- Сообщения: 18
- Зарегистрирован: 2010-11-29 17:31:54
Непрочитанное сообщение
ashev » 2011-02-07 11:46:04
а вот этого
Код: Выделить всё
sainfo address 172.21.0.0/16 any address 192.168.100.0/28 any
у меня действительно нету, а какую подсеть сначала ставить, свою или ту к которой нужно подключится?
ashev
-
blade_007
- ст. прапорщик
- Сообщения: 571
- Зарегистрирован: 2010-03-12 12:59:08
-
Контактная информация:
Непрочитанное сообщение
blade_007 » 2011-02-07 11:56:02
man racoon.conf
Код: Выделить всё
sainfo (source_id destination_id | anonymous) [from idtype [string]] { statements }
но у вас есть запись anonymous - она действительна для всех неявных определений соединений, так что если у вас одно соединение и не хотите заморачиваться - поправьте как нужно описание sainfo anonymous.
blade_007
-
blade_007
- ст. прапорщик
- Сообщения: 571
- Зарегистрирован: 2010-03-12 12:59:08
-
Контактная информация:
Непрочитанное сообщение
blade_007 » 2011-02-07 12:02:31
и еще хинт: все таймеры и pfs_group должны СОВПАДАТЬ НА ОБОИХ концах.
blade_007
-
ComBin
- рядовой
- Сообщения: 10
- Зарегистрирован: 2010-10-06 18:48:46
Непрочитанное сообщение
ComBin » 2012-11-06 20:20:31
Вопрос автору топика. Удалось ли решить проблему, если да, поделитесь как пожалуйста.
ComBin
